工業控制網絡:物理隔離還是不隔離?
什么是物理隔離?為什么要物理隔離不同網絡?
你站哪個陣營?是物理隔離派,還是認為真正的物理隔離根本不存在的不隔離派?
物理隔離網絡是邏輯上和物理上都與其他網絡隔離開的網絡,與其他網絡間的通信無論走物理信道還是邏輯信道都走不通。多年來,政府、軍隊、金融服務、核電站及工業制造等多個不同垂直行業中的很多網絡都被稱作所謂的 “物理隔離網絡”。
在工業界,這些物理隔離網絡是支持工廠中工業控制系統的網絡,與企業網絡間的通信在物理上和邏輯上都是斷開的。
在當今網絡即是控制系統的 “工業 4.0” 革命中,工業過程數據分析是驅動優化和效率的關鍵所在,越來越多的現場設備變身 “智能設備”(接入網絡并通過網絡加以管理)。這種情況下,物理隔離工業網絡的觀念在未來還切實可行嗎?如今真的存在物理隔離的網絡嗎?
物理隔離真的有效嗎?只是虛假的安全感?
理論上,物理隔離網絡似乎是個不錯的主意。但實際情況又是另一番景象。
物理隔離真的能保證與互聯網或公司業務網絡隔離開來嗎?事實上,已有多起案例證明物理隔離網絡是可以被滲透的。最著名的例子就是 “震網”,該蠕蟲能夠入侵并破壞鈾濃縮過程,令伊朗納坦茲核設施的核彈頭制造陷入停滯。
其他不那么可怕的案例也有很多,比如承包商、運維團隊或控制工程師會為了自己方便而設置調制解調器和無線網絡,以便能夠與物理隔離網絡間互傳數據。更何況還有筆記本電腦、平板電腦和智能手機這種臨時性設備。也別忘了通過可移動載體(光盤、U盤等)、遠程訪問和人力網(無需通過網絡即可轉移數據的任意方式)轉移進來的數據。這些環境都是真正物理隔離的嗎?
所有這些案例無不證明:沒什么是真正物理隔離的,或者說,沒辦法永遠保持 100% 物理隔離。物理隔離有沒有給我們一種虛假的安全感呢?網絡安全人員聽到過多少次 “哎呀,我們是物理隔離的,沒有必要擔心網絡安全” ?如果真是這樣的話,一沒有評估有沒有新數據被可移動載體/臨時設備帶進來,二沒有監測有沒有通過調制解調器或 VPN 設置的外部網絡連接,誰能知道自己到底是不是物理隔離的?
最終,總有新數據跑進這些所謂的 “物理隔離” 環境中。我們該如何解決這種情況?
問對問題值萬金
你怎么知道有沒有數據進出你的網絡?你怎么知道有沒有為便于雇員、承包商或供應商使用而設置了外部連接?
要能夠回答此類 “你怎么知道” 的問題,就得真正了解你的網絡,并布置預防性控制措施以能夠持續回答下列問題:
- 網絡上有什么設備?
- 這些設備的通信內容是什么?
- 這些設備在與誰通信?
- 這些設備間的正常通信是什么樣子的?
- 有沒有設置外部連接?
正如我們監測工業過程產出的品質性狀(如庫存、廢品率、返工率、物理尺寸、設備綜合有效性、故障率等等),我們也需要監測工業環境中的異常行為——配置修改、通信模式改變、漏洞利用和新/非預期網絡連接等。這么做有助于從影響工業過程運行的特殊因素中恢復過來,而這些特殊因素包括但不限于錯誤配置、人為失誤、網絡安全事件、機器故障等等。
從哪里著手?
如果還沒開啟工業網絡安全之旅,可以從工業網絡安全漏洞或風險評估開始。
網絡安全漏洞評估通常都會發現給定的環境從未完全物理隔離過。評估往往會發現未經批準的外部連接,可能是被控制工程師出于非威脅或非惡意原因而設置的。
工程師在進行系統維護或問題處理時為了免于人工將文件或程序拷入控制環境,就會取巧建立這些未經批準的網絡連接。大多數時候,這些連接都只是臨時應急用,但事情往往會發展成連接忘了撤銷,本應物理隔離的網絡對其他通信信道門戶洞開,其上行為可能被用于惡意目的。
還需要做些什么?
專注基本網絡安全控制。不要好高騖遠,盡去嘗試先進技術。三個基本的網絡安全控制就能緩解大多數內部和外部威脅帶來的風險:
- 理解并管理數據流,也就是網絡通信。
- 維護好準確的資產庫存清單(供應商、型號、模型、固件版本等等)。
- 監視設備數據流,查看哪些是預期的,哪些是異常的。
- 以網絡分隔實現預期的通信模式或數據流。
- 監視并管理控制網絡中所有設備的配置修改。
數據流管理始于創建并維護包括硬件和軟件在內的準確資產庫存清單。只要構建完準確的資產庫存清單,就可以開始理解并管理進出控制網絡的所有數據流(通信模式)了。可以查看并管理的東西包括:
- 文件傳輸:FTP、SFTP/SCP 等等。
- 臨時設備:筆記本電腦、平板電腦、手機等等。
- 可移動載體:如 U 盤。
- 內部網絡連接:部門或區域內網絡連接,以及部門或區域間網絡連接。
- 外部連接:通往/來自業務或公司網絡、供應商、銷售商等的連接。
- 無線網絡:尤其是為了方便而臨時設置的那些。
怎樣獲取數據流可見性呢?你必須清楚有哪些東西連接到自家網絡(準確的資產庫存清單),然后監視自家網絡上出自這些設備的數據流走向。
Tripwire 提供被動式監視解決方案——Tripwire Industrial Visibility。該解決方案專為理解工業協議和工業控制網絡而生,可制作設備庫存清單(供應商、型號、模型、固件版本等等),還可以獲悉設備正用哪些協議在網絡上通信。Tripwire Industrial Visibility 的學習模式可建立所有資產和通信的基準,投入運營模式后便能以這些基準發出設備異常警報。
充分了解數據流后,下一步就是設置預防性控制措施以實施這些通信模式。這方面可以借助 Tofino Xenon 之類工業安全設備,執行深度包檢測和工業協議健全性檢查,實現設備及網絡間的授權通信。
IEC 62443 中將區域定義為擁有相似功能/風險模型的資產(即人機界面 (HMI) 區域或可編程邏輯控制器 (PLC) 區域),管道則規劃不同區域間設備的授權/預期通信(即僅允許 HMI 區域和 PLC 區域間的 Modbus 串行通信協議,或僅允許變電站區域與控制中心區域間的 DNP3 分布式網絡協議)。Tofino Xenon 工業安全設備就能輔助實現 IEC 62443 中描述的區域和管道方法。無論你有沒有物理隔離網絡都值得應用該方法,因為該方法可緩解惡意或非預期流量在工廠或車間內傳播的風險。
最后,還須具備管理設備配置的能力,無論設備是控制器、HMI、遠程終端設備 (RTU)、工程工作站、路由器、交換機、數據庫、防火墻,還是別的什么設備。
影響工廠產品生產能力的生產停滯發生時往往會出現什么情況?結果就是有些東西被改變了——配置設置、固件版本、新開的端口、新接入網絡的設備等等。意識到有東西被改變,再將之復原,以便工業過程能轉回正常生產運營狀態需要多長時間呢?
管理變動和了解變動是否合法是 Tripwire Enterprise 的強項。Tripwire Industrial Visibility 也可用于管理變動,尤其是圍繞控制器的各種變動,無論是新添了梯形邏輯,還是改了控制器運行模式:執行、編程、測試等等。別讓這些變動支配了日常運營,要通過可見性管理這些變動,讓變動管理策略能夠得以實施。
無論物理隔離還是不隔離,可見性、預防性控制措施和持續監視都是關鍵
無論是否采用物理隔離維持自身工業環境的完全控制,監視解決方案都是必須的。Tripwire 的解決方案有助于提供可見性、防護控制和持續監視,便于監測和防止威脅安全、生產力和質量的網絡事件。
IEC 62443:
https://www.isa.org/training-and-certifications/isa-certification/isa99iec-62443/isa99iec-62443-cybersecurity-certificate-programs/
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
